Créer un cluster de VPC natif

Cette page explique comment configurer des clusters de VPC natif dans Google Kubernetes Engine (GKE).

Pour en savoir plus sur les avantages et les exigences des clusters de VPC natif, consultez la page de présentation des clusters de VPC natif.

Pour les clusters GKE Autopilot, les réseaux VPC natifs sont activés par défaut et ne peuvent pas être remplacés.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

• Activez l'API Google Kubernetes Engine.
Activer l'API Google Kubernetes Engine
• Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

Limites

• Vous ne pouvez pas convertir un cluster de VPC natif en cluster basé sur le routage, ni convertir un cluster basé sur le routage en cluster de VPC natif.

• Les clusters de VPC natif nécessitent des réseaux VPC. Les anciens réseaux ne sont pas compatibles.

• Comme pour tout cluster GKE, les adresses de services (ClusterIP) ne sont disponibles qu'au sein du cluster. Si vous devez accéder à un service Kubernetes à partir d'instances de VM en dehors du cluster, mais dans le réseau VPC et la région du cluster, créez un équilibreur de charge réseau passthrough interne.
• Si vous utilisez toutes les adresses IP de pods dans un sous-réseau, vous ne pouvez pas remplacer la plage d'adresses IP secondaire du sous-réseau sans entraîner l'instabilité du cluster. Toutefois, vous pouvez créer des plages d'adresses IP de pods supplémentaires à l'aide du CIDR multipods non contigu.

Créer un cluster

Cette section explique comment effectuer les tâches suivantes au moment de créer le cluster :

• Créer simultanément un cluster et un sous-réseau.
• Créer un cluster dans un sous-réseau existant.
• Créer un cluster et sélectionner la plage d'adresses IP du plan de contrôle.
• Créer un cluster avec la mise en réseau à double pile dans un nouveau sous-réseau (disponible dans les clusters Autopilot version 1.25 ou ultérieure et les clusters Standard version 1.24 ou ultérieure).
• Créer un cluster et un sous-réseau à double pile simultanément (disponible dans les clusters Autopilot version 1.25 et ultérieure, et les clusters Standard version 1.24 ou ultérieure).

Créer simultanément un cluster et un sous-réseau

Les instructions suivantes décrivent comment créer dans le même temps un cluster et un sous-réseau GKE sur un VPC natif. La méthode d'attribution de plages secondaires est gérée par GKE lorsque vous effectuez ces deux étapes à l'aide d'une seule commande.

gcloud container clusters create CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --enable-ip-alias \
    --create-subnetwork name=SUBNET_NAME,range=NODE_IP_RANGE \
    --cluster-ipv4-cidr=POD_IP_RANGE \
    --services-ipv4-cidr=SERVICES_IP_RANGE

{
  "name": CLUSTER_NAME,
  "description": DESCRIPTION,
  ...
  "ipAllocationPolicy": {
    "useIpAliases": true,
    "createSubnetwork": true,
    "subnetworkName": SUBNET_NAME
  },
  ...
}

Créer un cluster dans un sous-réseau existant

Les instructions suivantes décrivent comment créer un cluster GKE de VPC natif dans un sous-réseau existant à l'aide de la méthode d'attribution de plages secondaires de votre choix.

module "gke" {
  source  = "terraform-google-modules/kubernetes-engine/google"
  version = "~> 12.0"

  project_id        = "PROJECT_ID"
  name              = "CLUSTER_NAME"
  region            = "COMPUTE_LOCATION"
  network           = "NETWORK_NAME"
  subnetwork        = "SUBNET_NAME"
  ip_range_pods     = "SECONDARY_RANGE_PODS"
  ip_range_services = "SECONDARY_RANGE_SERVICES"
}

{
  "name": CLUSTER_NAME,
  "description": DESCRIPTION,
  ...
  "ipAllocationPolicy": {
    "useIpAliases": true,
    "clusterIpv4CidrBlock"      : string,
    "servicesIpv4CidrBlock"     : string,
    "clusterSecondaryRangeName" : string,
    "servicesSecondaryRangeName": string,

  },
  ...
}

Créer un cluster et sélectionner la plage d'adresses IP du plan de contrôle

Par défaut, les clusters dotés de Private Service Connect utilisent la plage de sous-réseau principale pour provisionner l'adresse IP interne attribuée au point de terminaison du plan de contrôle. Vous pouvez remplacer ce paramètre par défaut seulement au moment de la création du cluster en sélectionnant une autre plage de sous-réseaux. Les sections suivantes expliquent comment créer un cluster avec Private Service Connect et remplacer la plage de sous-réseaux.

gcloud container clusters create CLUSTER_NAME \
    --private-endpoint-subnetwork=SUBNET_NAME \
    --location=COMPUTE_LOCATION

gcloud container clusters create CLUSTER_NAME --enable-ip-alias \
    --enable-private-nodes  \
    --private-endpoint-subnetwork=SUBNET_NAME \
    --region=COMPUTE_REGION

Créer un cluster avec une mise en réseau à double pile

Vous pouvez créer un cluster avec une mise en réseau à double pile IPv4/IPv6 sur un sous-réseau à double pile nouveau ou existant. Le sous-réseau à double pile est disponible dans les clusters Autopilot version 1.25 ou ultérieure et les clusters standards version 1.24 ou ultérieure. Le sous-réseau à double pile n'est pas compatible avec les pools de nœuds Windows Server.

Avant de configurer des clusters à double pile, nous vous recommandons d'effectuer les actions suivantes :

• En savoir plus sur les avantages et les exigences des clusters GKE avec une mise en réseau à double pile.
• Consultez les restrictions et limites de la mise en réseau à double pile.

Dans cette section, vous allez d'abord créer un sous-réseau à double pile, puis utiliser ce sous-réseau pour créer un cluster.

1. Pour créer un sous-réseau à double pile, exécutez la commande suivante :

   gcloud compute networks subnets create SUBNET_NAME \
       --stack-type=ipv4-ipv6 \
       --ipv6-access-type=ACCESS_TYPE \
       --network=NETWORK_NAME \
       --range=PRIMARY_RANGE \
       --region=COMPUTE_REGION
   

   Remplacez les éléments suivants :

   • SUBNET_NAME : nom du sous-réseau que vous choisissez.
   • ACCESS_TYPE : type de routage vers l'Internet public. Utilisez INTERNAL pour les clusters privés et EXTERNAL pour les clusters publics. Si --ipv6-access-type n'est pas spécifié, le type d'accès par défaut est EXTERNAL.
   • NETWORK_NAME : nom du réseau qui contiendra le nouveau sous-réseau. Ce réseau doit répondre aux conditions suivantes :
     • Il doit s'agir d'un réseau VPC en mode personnalisé. Pour en savoir plus, découvrez comment basculer un réseau VPC en mode automatique vers le mode personnalisé.
     • Si vous remplacez ACCESS_TYPE par INTERNAL, le réseau doit utiliser des adresses Unicast IPv6 uniques locales (ULA).
   • PRIMARY_RANGE : plage d'adresses IP principale IPv4 pour le nouveau sous-réseau, au format CIDR. Pour en savoir plus, consultez la section sur les plages de sous-réseaux.
   • COMPUTE_REGION : région de calcul du cluster.

2. Pour créer un cluster avec un sous-réseau à double pile, utilisez gcloud CLI ou la console Google Cloud :

Créer simultanément un cluster et un sous-réseau à double pile

Vous pouvez créer simultanément un sous-réseau et un cluster à double pile. GKE crée un sous-réseau IPv6 et attribue une plage principale IPv6 externe au sous-réseau.

Si vous utilisez un VPC partagé, vous ne pouvez pas créer le cluster et le sous-réseau simultanément. En effet, un administrateur réseau du projet hôte de VPC partagé doit d'abord créer le sous-réseau à double pile.

• Pour les clusters Autopilot, exécutez la commande suivante :

  gcloud container clusters create-auto CLUSTER_NAME \
      --location=COMPUTE_LOCATION \
      --network=NETWORK_NAME \
      --create-subnetwork name=SUBNET_NAME
  

  Remplacez les éléments suivants :

  • CLUSTER_NAME : nom de votre nouveau cluster Autopilot.
  • COMPUTE_LOCATION : emplacement Compute Engine du cluster.
  • NETWORK_NAME : nom du réseau VPC contenant le sous-réseau. Ce réseau VPC doit être un réseau VPC en mode personnalisé qui utilise des adresses Unicast IPv6 uniques locales (ULA). Pour en savoir plus, découvrez comment basculer un réseau VPC en mode automatique vers le mode personnalisé.
  • SUBNET_NAME : nom du nouveau sous-réseau. GKE peut créer le sous-réseau en fonction de vos règles d'administration :
    • Si vos règles d'administration autorisent la double pile et que le réseau est en mode personnalisé, GKE crée un sous-réseau à double pile et attribue une plage principale IPv6 externe au sous-réseau.
    • Si les règles de votre organisation n'autorisent pas la double pile ou si le réseau est en mode automatique, GKE crée un sous-réseau à pile unique (IPv4).

• Pour les clusters Standard, exécutez la commande suivante :

  gcloud container clusters create CLUSTER_NAME \
      --enable-ip-alias \
      --stack-type=ipv4-ipv6 \
      --ipv6-access-type=ACCESS_TYPE \
      --network=NETWORK_NAME \
      --create-subnetwork name=SUBNET_NAME,range=PRIMARY_RANGE \
      --location=COMPUTE_LOCATION
  

  Remplacez les éléments suivants :

  • CLUSTER_NAME : nom du nouveau cluster choisi.
  • ACCESS_TYPE : type de routage vers l'Internet public. Utilisez INTERNAL pour les clusters privés et EXTERNAL pour les clusters publics. Si --ipv6-access-type n'est pas spécifié, le type d'accès par défaut est EXTERNAL.
  • NETWORK_NAME : nom du réseau qui contiendra le nouveau sous-réseau. Ce réseau doit répondre aux conditions suivantes :
    • Il doit s'agir d'un réseau VPC en mode personnalisé. Pour en savoir plus, découvrez comment basculer un réseau VPC en mode automatique vers le mode personnalisé.
    • Si vous remplacez ACCESS_TYPE par INTERNAL, le réseau doit utiliser des adresses Unicast IPv6 uniques locales (ULA).
  • SUBNET_NAME : nom du nouveau sous-réseau que vous choisissez.
  • PRIMARY_RANGE : plage d'adresses IPv4 principale pour le nouveau sous-réseau, au format CIDR. Pour en savoir plus, consultez la section sur les plages de sous-réseaux.
  • COMPUTE_LOCATION : emplacement Compute Engine du cluster.

Mettre à jour le type de pile

Vous pouvez modifier le type de pile d'un cluster existant ou convertir un sous-réseau existant en sous-réseau à double pile.

Mettre à jour le type de pile d'un cluster existant

Avant de modifier le type de pile sur un cluster existant, tenez compte des limites suivantes :

• La modification du type de pile est compatible avec les nouveaux clusters GKE exécutant la version 1.25 ou ultérieure. Les clusters GKE qui ont été mis à niveau des versions 1.24 vers les versions 1.25 ou 1.26 peuvent recevoir des erreurs de validation lors de l'activation du réseau à double pile. En cas d'erreurs, contactez l'équipe d'assistance Google Cloud.

• La modification du type de pile est une opération perturbatrice, car GKE redémarre les composants du plan de contrôle et des nœuds.

• GKE respecte les intervalles de maintenance configurés lors de la recréation de nœuds. Cela signifie que le type de pile du cluster ne sera pas opérationnel sur le cluster avant le prochain intervalle de maintenance. Pour éviter d'attendre, vous pouvez mettre à niveau manuellement le pool de nœuds en définissant l'option --cluster-version sur la même version de GKE que celle que le plan de contrôle exécute. Pour cette solution, vous devez utiliser la gcloud CLI. Pour en savoir plus, consultez la section Mise en garde à propos des intervalles de maintenance.

• La modification du type de pile ne modifie pas automatiquement la famille d'IP des services existants. Les conditions suivantes s'appliquent :

  • Si vous remplacez une pile unique par une double pile, les services existants restent à pile unique.
  • Si vous remplacez une pile double par une pile unique, les services existants avec des adresses IPv6 passent à l'état "erreur". Supprimez le service et créez-en un avec le paramètre ipFamilies approprié. Pour en savoir plus, consultez un exemple de configuration de déploiement.

Pour mettre à jour un cluster de VPC natif existant, vous pouvez utiliser la gcloud CLI ou la console Google Cloud :

  gcloud container clusters update CLUSTER_NAME \
      --stack-type=STACK_TYPE \
      --location=COMPUTE_LOCATION

Mettre à jour un sous-réseau existant vers un sous-réseau à double pile (disponible dans les clusters Autopilot version 1.25 ou ultérieure et les clusters Standard version 1.24 ou ultérieure).

Mettre à jour un sous-réseau existant vers un sous-réseau à double pile

Pour mettre à jour un sous-réseau existant vers un sous-réseau à double pile, exécutez la commande suivante. La mise à jour d'un sous-réseau n'a pas d'incidence sur les clusters IPv4 existants du sous-réseau.

gcloud compute networks subnets update SUBNET_NAME \
    --stack-type=ipv4-ipv6 \
    --ipv6-access-type=ACCESS_TYPE \
    --region=COMPUTE_REGION

Remplacez les éléments suivants :

• SUBNET_NAME : nom du sous-réseau
• ACCESS_TYPE : type de routage vers l'Internet public. Utilisez INTERNAL pour les clusters privés et EXTERNAL pour les clusters publics. Si --ipv6-access-type n'est pas spécifié, le type d'accès par défaut est EXTERNAL.
• COMPUTE_REGION : région de calcul du cluster.

Vérifier les plages d'adresses IP des pods, des services et des types de pile

Après avoir créé un cluster de VPC-natif, vous pouvez valider les plages de pod et de service spécifiées.

gcloud container clusters describe CLUSTER_NAME

Configuration avancée pour les adresses IP internes

Les sections suivantes expliquent comment utiliser des plages d'adresses IP privées non-RFC 1918 et comment activer des plages d'adresses IP publiques utilisées en mode privé.

Utiliser des plages d'adresses IP non-RFC 1918

Les clusters GKE peuvent utiliser des plages d'adresses IP en dehors des plages RFC 1918 pour les nœuds, les pods et les services. Consultez la section Plages valides dans la documentation du réseau VPC pour obtenir la liste des plages privées non-RFC 1918 pouvant être utilisées comme adresses IP internes pour les plages de sous-réseaux.

Cette fonctionnalité n'est pas compatible avec les pools de nœuds Windows Server.

Les plages d'adresses IP non-RFC 1918 sont compatibles avec les clusters privés et les clusters non privés.

Les plages privées non-RFC 1918 sont des plages de sous-réseaux. Vous pouvez les utiliser exclusivement ou conjointement avec des plages de sous-réseaux RFC 1918. Les nœuds, les pods et les services continuent à utiliser les plages de sous-réseaux, comme décrit dans la section Plages d'adresses IP pour les clusters de VPC natif. Si vous utilisez des plages non-RFC 1918, tenez bien compte des éléments suivants :

• Les plages de sous-réseaux, y compris celles utilisant des plages non-RFC 1918, doivent être attribuées manuellement ou par GKE avant la création des nœuds du cluster. Vous ne pouvez pas basculer vers ou cesser d'utiliser des plages de sous-réseaux non-RFC 1918, sauf si vous remplacez le cluster.

• Les équilibreurs de charge réseau passthrough internes n'utilisent que des adresses IP de la plage d'adresses IP principale du sous-réseau. Pour créer un équilibreur de charge réseau passthrough interne avec une adresse non-RFC 1918, la plage d'adresses IP principale de votre sous-réseau doit être autre que RFC 1918.

Les destinations situées en dehors de votre cluster peuvent rencontrer des difficultés pour recevoir du trafic provenant de plages privées non-RFC 1918. Par exemple, les plages privées RFC 1112 (classe E) sont généralement utilisées en tant qu'adresses de multidiffusion. Si une destination extérieure à votre cluster ne peut pas traiter les paquets dont les sources sont des adresses IP privées en dehors de la plage RFC 1918, vous pouvez effectuer les opérations suivantes :

• Utilisez une plage RFC 1918 pour la plage d'adresses IP principale du sous-réseau. De cette manière, les nœuds du cluster utilisent des adresses RFC 1918.

• Vérifiez que votre cluster exécute l'agent de masquage d'adresses IP et que les destinations ne sont pas dans la liste nonMasqueradeCIDRs. De cette manière, les sources (SNAT) des paquets envoyés à partir de pods sont remplacées par des adresses de nœuds, qui sont RFC 1918.

Activer les plages d'adresses IP externes utilisées en mode privé

Les clusters GKE peuvent utiliser en mode privé certaines plages d'adresses IP externes en tant que plages d'adresses IP de sous-réseau internes. Vous pouvez utiliser en mode privé toute adresse IP externe, à l'exception de certaines plages restreintes, comme décrit dans la documentation du réseau VPC. Cette fonctionnalité n'est pas compatible avec les pools de nœuds Windows Server.

Votre cluster doit être un cluster de VPC natif pour pouvoir utiliser des plages d'adresses IP externes utilisées en mode privé. Les clusters basés sur le routage ne sont pas compatibles.

Les plages externes utilisées en mode privé sont des plages de sous-réseaux. Vous pouvez les utiliser exclusivement ou conjointement avec d'autres plages de sous-réseaux qui utilisent des adresses privées. Les nœuds, les pods et les services continuent à utiliser les plages de sous-réseaux, comme décrit dans la section Plages d'adresses IP pour les clusters de VPC natif. Tenez bien compte des éléments suivants lorsque vous réutilisez des adresses IP externes en mode privé :

• Lorsque vous utilisez une plage d'adresses IP externes comme plage de sous-réseaux, votre cluster ne peut plus communiquer avec les systèmes sur Internet qui utilisent cette plage externe. La plage devient une plage d'adresses IP interne dans le réseau VPC du cluster.

• Les plages de sous-réseaux, y compris celles utilisant des plages d'adresses IP externes en mode privé, doivent être attribuées manuellement ou par GKE avant la création des nœuds du cluster. Vous ne pouvez pas basculer vers ou cesser d'utiliser des adresses IP externes utilisées en mode privé, sauf si vous remplacez le cluster.

Par défaut, GKE met en œuvre la SNAT sur les nœuds vers des adresses IP externes. Si vous avez configuré le CIDR du pod pour qu'il utilise des adresses IP externes, les règles SNAT s'appliquent au trafic entre les pods. Pour éviter cela, deux options s'offrent à vous :

• Créer votre cluster avec l'option --disable-default-snat. Pour en savoir plus sur cette option, reportez-vous à la section IP masquerading dans GKE.
• Configurer le configMap ip-masq-agent, en incluant dans la liste nonMasqueradeCIDRs au moins le CIDR du pod, le CIDR du service et le sous-réseau des nœuds.

Pour les clusters standards, si la version du cluster est 1.14 ou ultérieure, les deux options fonctionnent. Si votre cluster est antérieur à la version 1.14, vous ne pouvez utiliser que la deuxième option (configuration de ip-masq-agent).

Étape suivante

• Lisez la présentation du réseau GKE.
• En savoir plus sur l'équilibrage de charge interne.
• Familiarisez-vous avec la configuration des réseaux autorisés.
• Découvrez comment créer des règles de réseau pour un cluster.